Databehandleravtale

1. Parter og definisjoner

Behandlingsansvarlig («Kunden»): Organisasjonen som har inngått hovedavtale om bruk av Lexera-plattformen, og som bestemmer formålet med og midlene for behandling av personopplysninger.

Databehandler («Lexera»): Lexera AS, org. nr. 937 286 554, Storgata 36, 0182 Oslo, Norge, som behandler personopplysninger på vegne av Kunden.

«Personopplysninger» betyr enhver opplysning som definert i GDPR artikkel 4(1). «Behandling» betyr enhver operasjon som definert i GDPR artikkel 4(2). «Gjeldende personvernlovgivning» betyr GDPR og norsk personopplysningslov.

2. Instrukser (art. 28(3)(a))

2.1 Lexera behandler personopplysninger kun etter Kundens dokumenterte instrukser. Bruk av tjenesten i henhold til denne avtalen, hovedavtalen, vilkårene for bruk og Kundens konfigurasjon av plattformen utgjør Kundens dokumenterte instrukser.

2.2 Lexera skal ikke behandle personopplysninger til egne formål eller for tredjeparts formål, med unntak av det som kreves etter gjeldende lov. Dersom Lexera er rettslig forpliktet til å behandle opplysningene, skal Kunden varsles på forhånd, med mindre slik varsling er forbudt ved lov.

2.3 Dersom Lexera mottar en instruks som etter vår vurdering er i strid med GDPR eller annen gjeldende personvernlovgivning, vil vi informere Kunden om dette uten ugrunnet opphold og suspendere den aktuelle behandlingen inntil Kunden bekrefter eller endrer instruksen.

2.4 Omfanget av behandlingen, herunder kategorier av personopplysninger, kategorier av registrerte, behandlingens art og formål, samt lagringstid, er nærmere beskrevet i Vedlegg 1.

3. Fortrolighet (art. 28(3)(b))

Lexera sikrer at alle personer som er autorisert til å behandle personopplysninger på vegne av Kunden, er underlagt lovfestet eller avtalefestet taushetsplikt. Taushetsplikten gjelder også etter opphør av arbeids- eller oppdragsforholdet.

Alle ansatte og kontraktører hos Lexera som har tilgang til personopplysninger, har gjennomgått opplæring i personvern og informasjonssikkerhet, og har signert fortrolighetsavtaler som dekker behandling av kundedata.

4. Sikkerhetstiltak (art. 28(3)(c) / art. 32)

Lexera iverksetter egnede tekniske og organisatoriske tiltak for å sikre et beskyttelsesnivå som er tilpasset risikoen ved behandlingen, i henhold til GDPR artikkel 32. Tiltakene skal som minimum dekke:

• – Kryptering av data i transit (TLS 1.2+) og i hvile (AES-256)
• – Tilgangskontroll med OAuth 2.0, rollebasert tilgangsstyring (RBAC) og flerfaktorautentisering
• – Nettverksisolasjon, brannmurregler og privat endepunkttilgang i Azure-infrastrukturen
• – Kontinuerlig overvåking, logging og varsling ved sikkerhetsavvik
• – Regelmessig sikkerhetstesting, penetrasjonstesting og sårbarhetsvurdering
• – Automatisert sikkerhetskopiering med geografisk redundans

Detaljert beskrivelse av sikkerhetstiltakene finnes i Vedlegg 2 og på vår sikkerhetsside (lexera.no/security). Lexera kan oppdatere sikkerhetstiltakene over tid, forutsatt at det generelle sikkerhetsnivået ikke reduseres vesentlig. Kunden skal varsles om vesentlige endringer.

5. Underdatabehandlere (art. 28(3)(d))

5.1 Kunden gir Lexera generell skriftlig forhåndsautorisasjon til å benytte underdatabehandlere. En oppdatert liste over godkjente underdatabehandlere finnes i Vedlegg 3.

5.2 Lexera pålegger alle underdatabehandlere databehandleravtaler som gir minst like sterkt vern som denne avtalen, i henhold til GDPR artikkel 28(4). Lexera forblir fullt ansvarlig overfor Kunden for underdatabehandlernes oppfyllelse av sine forpliktelser.

5.3 Ved tillegg eller utskifting av en underdatabehandler vil Lexera varsle Kunden minst 14 dager på forhånd. Kunden kan protestere mot endringen innen 14 dager fra varselet.

5.4 Dersom Kunden protesterer, vil partene samarbeide i god tro for å finne en løsning, for eksempel ved å benytte en alternativ underdatabehandler. Dersom enighet ikke oppnås innen 30 dager, kan Kunden si opp hovedavtalen med virkning fra datoen den nye underdatabehandleren var planlagt tatt i bruk.

5.5 Lexera skal gjennomføre egnede tiltak for å verifisere at underdatabehandlere overholder sine forpliktelser, herunder gjennomgang av sikkerhetssertifiseringer, revisjonsrapporter og databehandleravtaler.

6. Bistand ved rettighetsforespørsler (art. 28(3)(e))

6.1 Lexera bistår Kunden med å oppfylle sine forpliktelser overfor registrerte som utøver sine rettigheter etter GDPR kapittel III, herunder rett til innsyn (art. 15), retting (art. 16), sletting (art. 17), begrensning (art. 18), dataportabilitet (art. 20) og protest (art. 21).

6.2 Dersom Lexera mottar en henvendelse direkte fra en registrert, vil vi videresende forespørselen til Kunden innen 5 virkedager og ikke selv besvare den, med mindre Kunden har instruert oss om annet.

6.3 Plattformen gir Kunden selvbetjeningsverktøy for eksport og sletting av brukerdata. For forespørsler som krever manuell bistand, vil Lexera respondere innen 5 virkedager.

7. Varsling ved sikkerhetsbrudd (art. 28(3)(f))

7.1 Ved brudd på persondatasikkerheten vil Lexera varsle Kunden uten ugrunnet opphold og senest innen 24 timer etter at bruddet er oppdaget, slik at Kunden kan overholde sin varslingsplikt overfor Datatilsynet innen 72 timer (GDPR art. 33).

7.2 Varselet vil inneholde: (a) en beskrivelse av bruddet, herunder kategorier og omtrentlig antall berørte registrerte og personopplysningsposter, (b) navn og kontaktopplysninger til Lexeras kontaktpunkt, (c) en beskrivelse av sannsynlige konsekvenser, og (d) en beskrivelse av tiltak som er iverksatt eller foreslått for å håndtere bruddet og begrense eventuelle skadevirkninger.

7.3 Lexera vil dokumentere alle sikkerhetsbrudd, herunder fakta, konsekvenser og utbedrende tiltak, og gjøre dokumentasjonen tilgjengelig for Kunden ved forespørsel.

8. Bistand ved DPIA og forhåndsdrøfting (art. 28(3)(f))

Lexera bistår Kunden med gjennomføring av vurderinger av personvernkonsekvenser (DPIA) og eventuell forhåndsdrøfting med Datatilsynet (art. 35–36), i den grad det er nødvendig basert på behandlingens art og tilgjengelig informasjon.

Lexera-plattformen inneholder verktøy for gjennomføring av DPIA som del av risikovurderingsprosessen. Lexera vil på forespørsel gi Kunden nødvendig informasjon om behandlingsaktivitetene for å understøtte Kundens DPIA.

9. Sletting og tilbakelevering (art. 28(3)(g))

9.1 Ved opphør av hovedavtalen skal Kunden innen 30 dager velge mellom: (a) tilbakelevering av alle personopplysninger i et strukturert, maskinlesbart format (JSON/CSV), eller (b) sletting av alle personopplysninger.

9.2 Dersom Kunden ikke gir instruks innen 30 dager etter avtalens opphør, vil Lexera slette alle personopplysninger innen 90 dager etter opphøret. Lexera vil skriftlig bekrefte at sletting er gjennomført.

9.3 Unntak: Revisjonslogger kan oppbevares i opptil 3 år etter opphøret dersom dette kreves etter gjeldende lov (f.eks. bokføringsloven). Automatiske sikkerhetskopier oppbevares i opptil 35 dager og slettes deretter automatisk.

10. Revisjon og innsyn (art. 28(3)(h))

10.1 Lexera stiller all nødvendig informasjon til rådighet for å dokumentere etterlevelse av forpliktelsene i denne avtalen og i GDPR artikkel 28. Kunden har rett til å gjennomføre revisjoner eller inspeksjoner, enten selv eller ved hjelp av en uavhengig tredjepart, forutsatt at: (a) revisjonen er avtalt minst 30 dager på forhånd, (b) den gjennomføres i ordinær arbeidstid, og (c) revisoren er bundet av fortrolighetsavtale.

10.2 Lexera vil gi rimelig bistand under revisjon. Kunden dekker egne kostnader knyttet til revisjon, med mindre revisjonen avdekker et dokumentert brudd på denne avtalen fra Lexeras side. Revisjoner kan normalt ikke gjennomføres mer enn én gang per 12 måneder, med mindre det foreligger rimelig grunn til å anta manglende etterlevelse.

10.3 Lexera kan alternativt fremlegge en uavhengig revisjonsrapport (f.eks. SOC 2 Type II) som dokumentasjon på etterlevelse, dersom Kunden aksepterer dette som tilstrekkelig.

11. Overføring til tredjeland

11.1 Lexeras primære databehandling skjer i EU/EØS (Microsoft Azure, Nord-Europa-regionen). All lagring av personopplysninger skjer innenfor EU/EØS.

11.2 For KI-assistanse benyttes Anthropic Ireland, Ltd (med behandling i USA) som underdatabehandler. Overføring til USA er basert på EUs standardkontraktsklausuler (SCCs) vedtatt av EU-kommisjonen 4. juni 2021, i henhold til GDPR artikkel 46(2)(c).

11.3 For e-postvarsler benyttes Resend Inc. (USA) som underdatabehandler, også med SCCs som overføringsgrunnlag.

11.4 Lexera har gjennomført en overføringskonsekvensvurdering (TIA) for alle overføringer til tredjeland, og vil på forespørsel bistå Kunden med informasjon som er nødvendig for Kundens egen TIA.

12. Ansvar

12.1 Lexera er ansvarlig for skade som følge av behandling som er i strid med GDPR eller denne avtalen, i henhold til GDPR artikkel 82. Lexera fritas for ansvar dersom det godtgjøres at Lexera ikke på noen måte er ansvarlig for hendelsen som forårsaket skaden.

12.2 Dersom en underdatabehandler forårsaker skade, er Lexera ansvarlig overfor Kunden som om Lexera selv hadde utført behandlingen, jf. GDPR artikkel 28(4).

12.3 Ansvarsbeløpet under denne avtalen er begrenset i henhold til ansvarsbegrensningene i hovedavtalen, med mindre tvingende lovgivning tilsier noe annet.

13. Lovvalg og verneting

Denne avtalen er underlagt norsk lov. Tvister som oppstår i forbindelse med avtalen skal søkes løst gjennom forhandlinger. Dersom forhandlinger ikke fører frem innen 30 dager, skal tvisten avgjøres av Oslo tingrett som verneting.

14. Varighet og opphør

Denne avtalen gjelder så lenge Lexera behandler personopplysninger på vegne av Kunden. Avtalen opphører automatisk når all behandling av personopplysninger er avsluttet og data er slettet eller tilbakelevert i henhold til punkt 9.

Bestemmelsene om fortrolighet (punkt 3), ansvar (punkt 12), lovvalg (punkt 13) og sletting (punkt 9) gjelder også etter avtalens opphør.

Vedlegg 1: Beskrivelse av behandlingen

Denne oversikten beskriver behandlingen av personopplysninger som utføres av Lexera på vegne av Kunden.

Vedlegg 2: Tekniske og organisatoriske sikkerhetstiltak

Følgende tiltak er iverksatt for å beskytte personopplysninger behandlet av Lexera, i henhold til GDPR artikkel 32.

A. Tilgangskontroll

• – Rollebasert tilgangsstyring (RBAC) med prinsipper for minste privilegium
• – Flerfaktorautentisering (MFA) for alle administratorer
• – Autentisering via OAuth 2.0 (Microsoft Entra ID / Google Identity)
• – Automatisk sesjonshåndtering med tidsavbrudd
• – Tenantbasert dataisolasjon – Kunder kan aldri se andre Kunders data

B. Kryptering

• – Data i transit: TLS 1.2 eller høyere for all kommunikasjon
• – Data i hvile: AES-256-kryptering for alle databaser og fillagre
• – Hemmeligheter lagret i Azure Key Vault med HSM-beskyttelse

C. Nettverkssikkerhet

• – Azure Virtual Network med nettverkssikkerhetersgrupper (NSG)
• – Web Application Firewall (WAF) på alle offentlige endepunkter
• – DDoS-beskyttelse via Azure DDoS Protection
• – Privat endepunkttilgang for databasetjenester

D. Logging og overvåking

• – Sentralisert logging av all tilgangs- og endringsaktivitet
• – Sanntids sikkerhetsovervåking og automatiserte varsler
• – Revisjonslogg med 3 års oppbevaring (uforanderlig)

E. Sårbarhetshåndtering

• – Automatisert avhengighetsscanning (Dependabot)
• – Regelmessig penetrasjonstesting
• – Ansvarlig varslingsprosess for sikkerhetshull

F. Hendelseshåndtering

• – Dokumentert hendelseshåndteringsplan
• – Varsling til Kunden innen 24 timer ved sikkerhetsbrudd
• – Post-mortem-analyse og utbedrende tiltak etter hendelser

G. Personelltiltak

• – Bakgrunnssjekk av ansatte med tilgang til kundedata
• – Obligatorisk opplæring i informasjonssikkerhet og personvern
• – Fortrolighetsavtaler for alle ansatte og kontraktører

H. Sikkerhetskopiering og gjenoppretting

• – Automatisert daglig sikkerhetskopiering med geografisk redundans
• – Punkt-i-tid gjenoppretting (PITR) med opptil 35 dagers historikk
• – Dokumentert og testet gjenopprettingsplan

Vedlegg 3: Godkjente underdatabehandlere

Følgende underdatabehandlere er godkjent per avtaletidspunktet:

Om Anthropic og KI-behandling

Lexeras KI-assistent (Lea) bruker Anthropic Claude API for å gi kontekstuell rådgivning i risikovurderinger. Følgende garantier gjelder:

• – Anthropic bruker ikke kundedata til å trene eller forbedre sine modeller (nulldataretensjon for API-kunder)
• – Data sendes kryptert (TLS 1.3) og lagres ikke etter at svaret er generert
• – Lexera sender kun kontekstdata som er nødvendig for å generere rådgivning – aldri hele datasett
• – Kunden kan deaktivere KI-assistansen per organisasjon eller per vurdering

Vedlegg 4: KI-spesifikke bestemmelser

Disse bestemmelsene supplerer hovedavtalen og gjelder spesifikt for behandling av personopplysninger i forbindelse med KI-funksjoner i Lexera-plattformen.

A. Grunnprinsipp

Lexeras KI-assistent følger prinsippet «KI foreslår, mennesket godkjenner». Alle KI-genererte forslag presenteres som anbefalinger som krever brukerens aktive godkjenning før de lagres i vurderingen.

B. Dataminimering

Lexera praktiserer dataminimering ved KI-behandling. Kun informasjon som er direkte relevant for den aktuelle rådgivningen sendes til KI-tjenesten. Fullstendige personopplysninger overføres ikke – kun aggregert kontekst og anonymiserte referanser der det er mulig.

C. Ingen opplæring på kundedata

Verken Lexera eller Anthropic bruker kundedata til å trene, finjustere eller forbedre KI-modeller. Anthropic opererer med nulldataretensjon for API-forespørsler, og Lexera har en kontraktsfestet garanti om dette.

D. Transparens

Brukere informeres tydelig når de interagerer med KI-generert innhold. Alle KI-forslag er merket som maskingenert. Kunden kan revidere og overstyre alle KI-forslag.

E. Behandlingssted for KI

KI-behandling skjer via Anthropic Claude API (USA). Lexera evaluerer fortløpende muligheten for EU-basert KI-behandling (f.eks. via AWS Bedrock i eu-west-1) og vil tilby dette som alternativ når det er tilgjengelig, uten merkostnad for Kunden.